设为首页收藏本站

80后

 找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

查看: 2503|回复: 0

网络入侵分析与排查

[复制链接]

849

主题

1149

帖子

4263

积分

论坛元老

Rank: 8Rank: 8

积分
4263
发表于 2017-9-7 10:13:28 | 显示全部楼层 |阅读模式
网络入侵分析与排查

一、我们所常见的黑客入侵安全事件主要有以下:

  • Web入侵:挂马、篡改、Webshell
  • 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
  • 病毒木马:远控、后门、勒索软件
  • 信息泄漏:脱裤、数据库登录(弱口令)
  • 网络流量:频繁发包、批量请求、DDOS攻击

二、排查思路:一个常见入侵事件后的系统排查思路:攻击类型定位--时间范围--文件分析--进程分析--系统分析--日志分析--逻辑推理--事件总结

  • 文件分析
    a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件
  • 进程分析
    a) 当前活动进程 & 远程连接
    b) 启动进程&计划任务
    c) 进程工具分析
  • 系统分析
    a) 环境变量
    b) 帐号信息
    c) History
    d) 系统配置文件
  • 日志分析
    a) Windows: 事件查看器(eventvwr)
  • 查看日志

    三、在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。

1、首先确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。

2、一般攻击者在入侵网站后,通常会上传一个后门文件,以方便自己以后访问。我们也可以以该文件为线索来展开分析。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|www.333cm.com ( 京ICP备16037542号-1  

GMT+8, 2021-8-5 12:53 , Processed in 0.383619 second(s), 26 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表